CLOUD SECURITY LAB

🚨【速报】2025年11月,万众期待的“OWASP Top 10 2025”完整分析终于发布!

by

cslab
in

大家好!各位热爱安全的伙伴们!👋 自2021年以来,时隔约四年,OWASP Top 10 2025 (Release Candidate)已于11月正式发布。

本次2025年版本不仅是简单的排名变动,其特点是大幅反映了近期激增的供应链攻击(Supply Chain Attack)云/IaC环境的复杂性。在讲授Terraform或Kubernetes时,有很多需要强调的重点!

从全新变化的第1位到第10位,我们只提取了核心要点进行整理。🚀

image

📊 OWASP Top 10 2025:有哪些变化?

最显著的变化是“供应链安全”的崛起“异常处理”这一新类别的出现。SSRF(服务器端请求伪造)已被吸收到其他项目中,取而代之的是更根本的软件健壮性问题。

🔥 第1位~第3位:绝对威胁的三巨头

🥇 A01:2025 – Broken Access Control (访问控制缺陷)

  • 无变动(稳居第1位) 👑
  • 仍然是最常见且最致命的漏洞。
  • 这包括在云环境中赋予过宽的IAM权限(Over-privileged),或未能阻止垂直/水平权限提升的情况。(注:原2021年版第10位的SSRF已合并到此项。)

🥈 A02:2025 – Security Misconfiguration (安全配置错误)

  • 排名急升(第5位 ➡️ 第2位) 📈
  • 这是由于云原生环境的普及,导致配置文件(YAML、HCL等)的复杂性增加。
  • 包括使用默认账户、开放不必要的端口、云存储公开配置等。讲师们强调的IaC(Terraform)安全在此处应大放异彩!

🥉 A03:2025 – Software Supply Chain Failures (软件供应链故障)

  • 大规模改版(取代了原有的“易受攻击和过时的组件”) 🔄
  • 不仅仅是“使用了旧的库”那么简单。
  • 它已扩展为一个更全面的概念,包括CI/CD管道污染、恶意软件包(Typosquatting)和构建工具的完整性。近期xz后门事件等是其排名上升的主要原因。

🛡️ 第4位~第6位:设计与实现的漏洞

4️⃣ A04:2025 – Cryptographic Failures (加密失败)

  • 排名下降(第2位 ➡️ 第4位) 📉
  • 尽管排名下降,但其重要性依然。包括敏感数据暴露、使用弱加密算法、证书管理不善等。

5️⃣ A05:2025 – Injection (注入)

  • 排名下降(第3位 ➡️ 第5位) 📉
  • 包括SQL注入、OS命令注入等。
  • 尽管随着ORM的使用和框架的发展,其频率有所降低,但在传统系统中仍然具有威胁性。(LLM Prompt Injection有时被视为单独类别,但广义上可包含在此处。)

6️⃣ A06:2025 – Insecure Design (不安全设计)

  • 排名下降(第4位 ➡️ 第6位) 📉
  • 这是“并非代码写错,而是从规划阶段就存在问题”的情况。
  • 包括缺乏威胁建模(Threat Modeling)、业务逻辑缺陷等。

⚠️ 第7位~第10位:认证与操作的盲区

7️⃣ A07:2025 – Authentication Failures (身份验证失败)

  • 名称略微简化。(Identification被省略)
  • 所有与登录相关的问题,如弱密码策略、未实施MFA、会话管理不善等。

8️⃣ A08:2025 – Software or Data Integrity Failures (软件或数据完整性故障)

  • 处理从不可信来源获取代码、固件更新验证失败、反序列化(Insecure Deserialization)问题等。
  • 与A03(供应链)密切相关。

9️⃣ A09:2025 – Logging & Alerting Failures (安全日志记录和监控失败)

  • 这是指即使发生攻击,也未留下日志或未触发警报,导致响应延迟的问题。
  • 从安全运营(SecOps)的角度来看,这是一个必不可少的项目。

🔟 A10:2025 – Mishandling of Exceptional Conditions (异常处理不当)

  • 🆕 NEW!一个全新的类别 🌟
  • 它将以前分散的错误处理问题整合在一起。
  • 处理错误消息中暴露堆栈跟踪(Stack Trace)等敏感信息,或在发生错误时系统未能“故障安全”关闭,而是绕过安全程序(故障开放)的情况。

💡 讲师核心要点 (Takeaway)

  1. 供应链安全(A03)是核心关键词:现在不仅仅是运行npm auditCI/CD管道安全SBOM(Software Bill of Materials)管理是必不可少的。
  2. 配置错误(A02)的提升:在云/Kubernetes课程中,请强调自动化工具(OPA、Kyverno等)在防止Misconfiguration方面的重要性。
  3. 异常处理(A10)的新增:必须教育开发人员,“优雅的错误处理”与“功能实现”一样,直接关系到安全性。

本次OWASP Top 10 2025很好地反映了现代开发趋势。建议您根据这些变化更新课程内容!👍

Comments

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注